Frostarmada

Uma operação internacional coordenada por autoridades de segurança e empresas privadas desmantelou a campanha FrostArmada, vinculada ao grupo de ameaças persistentes avançadas (APT) APT28, também conhecido como Fancy Bear. Este grupo, associado ao GRU da Rússia, comprometeu principalmente roteadores MikroTik e TP-Link, alterando suas configurações de DNS para redirecionar o tráfego de autenticação de contas da Microsoft. No auge da campanha, em dezembro de 2025, cerca de 18.000 dispositivos em 120 países foram infectados, com alvos como agências governamentais e provedores de serviços de TI. A operação contou com a colaboração da Microsoft, Black Lotus Labs e apoio do FBI e do Departamento de Justiça dos EUA. Os atacantes exploraram vulnerabilidades em roteadores expostos à internet, redirecionando tráfego para servidores maliciosos, onde coletaram credenciais de login e tokens OAuth. A Microsoft e o NCSC do Reino Unido alertaram sobre a natureza oportunista dos ataques, que afetaram tanto sessões de navegador quanto aplicativos de desktop. A operação resultou na desativação da infraestrutura maliciosa, mas destaca a necessidade de medidas de segurança robustas, como o uso de pinagem de certificados e a atualização de equipamentos obsoletos.